IBM Cloud Docs
配置安全组

配置安全组

文档的此部分描述了安全组的配置,以允许所需的流量流。 此部署模式中已使用三个安全组:

  • 防御-此安全组保护防御主机。
  • AD-此安全组保护 AD 服务器。
  • SQL-此安全组保护 SQL 服务器。

如果要部署 "双 MZR" 模式,那么将有两组三个安全组,因为安全组仅限于 VPC

流量流如下所示,由于安全组是有状态的,因此只需要允许启动流量流:

  • 从因特网到来自管理员笔记本电脑的防御主机的 RDP 流量。
  • 从防御主机到虚拟服务器的 RDP 流量。
  • 从防御主机到用于下载的因特网资源的 HTTPS 流量。
  • Windows 服务器之间的 SMB 流量。
  • Windows 集群节点之间的 RPC 流量。
  • 域控制器之间的复制流量。
  • 成员服务器与域控制器之间的 AD 流量
  • TCP 1433 上从防御主机到 SQL 服务器的 SQL 流量。
  • SQL 客户机到 TCP 6789 上的侦听器,从防御主机到 SQL 服务器。
  • 始终在 Microsoft SQL Server 之间的 TCP 5022 上的可用性组流量。
  • 内部资源之间的 ICMP 流量。
  • UDP 53 上到 AD 服务器的 DNS 流量。
  • IBM Cloud 端点流量:
    • UDP 53 上指向 IBM DNS 解析器 161.26.0.10 和 161.26.0.11 的 DNS 解析器流量。
    • UDP 53 上到 AD 服务器的 DNS 流量。
    • UDP 123 上到 IBM NTP 服务器 (161.26.0.6) 的 NTP 流量。

来自因特网的 RDP 流量

<IP_Address> is the external IP address of the connection from the administrator. 如果有多个 IP ,请考虑使用 CIDR 源类型。

  • 安全组: 堡垒
  • 规则: 入站
  • protocol: TCP
  • 源类型 :IP 地址
  • Source: <IP_Address>
  • 值: 端口 3389

来自防御主机的 RDP 流量

  • 安全组: 堡垒

  • 规则: 出站

  • protocol: TCP

  • 目标类型: 任何

  • 目标: 0.0.0.0/0

  • 值: 端口 3389

  • 安全组 :SQL 和 AD

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • Source: <bastion_subnet>

  • 值: 端口 3389

来自防御主机的 HTTPS 流量

由于浮动 IP ,防御主机有权访问因特网以下载文件,但是保护防御主机的安全组具有以下规则:

  • 安全组: 堡垒
  • 规则: 出站
  • protocol: TCP
  • 目标类型: 任何
  • 目标: 0.0.0.0/0
  • 值: 端口 443

Windows 服务器之间的 SMB 流量

域访问和文件共享需要此 SMB 流量。

  • 安全组: 防御, AD 和 SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • Source: <vpc_prefix>

  • 值: 端口 139,445

  • 安全组: 防御, AD 和 SQL

  • 规则: 入站

  • protocol: UDP

  • 源类型 :CIDR

  • Source: <vpc_prefix>

  • 值: 端口 137-138

  • 安全组: SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型: 安全组

  • 目标: 堡垒

  • 值: 端口 139

  • 安全组: 防御, AD 和 SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标:<vpc_prefix>

  • 值: 端口 445

  • 安全组: 防御, AD 和 SQL

  • 规则: 出站

  • protocol: UDP

  • 目标类型 :CIDR

  • 目标:<vpc_prefix>

  • 值: 端口 137-138

Windows 集群节点之间的 RPC 流量。

  • 安全组: SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • Source: <sql_subnet>

  • 值: 端口 135

  • 安全组: SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标:<sql_subnet>

  • 值: 端口 135

  • 安全组: SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • Source: <sql_subnet>

  • 值: 端口 49152-65535

  • 安全组: SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标:<sql_subnet>

  • 值: 端口 49152-65535

  • 安全组: SQL

  • 规则: 入站

  • protocol: UDP

  • 源类型 :CIDR

  • Source: <sql_subnet>

  • 值: 端口 49152-65535

  • 安全组: SQL

  • 规则: 出站

  • protocol: UDP

  • 目标类型 :CIDR

  • 目标:<sql_subnet>

  • 值: 端口 49152-65535

域控制器之间的复制流量

在此示例中,我们允许 Active Directory 子网之间的所有端口。 请参阅 How to configure a firewall for Active Directory domains and 信任 ,以了解域控制器之间使用的所有密码,从而使您能够在需要时进一步锁定此密码。

  • 安全组 :AD

  • 规则: 入站

  • 协议: 全部

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 全部端口

  • 安全组 :AD

  • 规则: 出站

  • 协议: 全部

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 全部端口

成员服务器与域控制器之间的 AD 流量

  • 安全组: 堡垒

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 端口 464 , 88 , 389 , 636 , 3268 , 3269 , 135 , 49152-65535

  • 安全组: SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 端口 464 , 88 , 389 , 636 , 3268 , 3269 , 135 , 49152-65535

  • 安全组 :AD

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • 源: <bastion_subnet><sql_subnet>

  • 值: 端口 464 , 88 , 389 , 636 , 3268 , 3269 , 135 , 49152-65535

  • 安全组: 堡垒

  • 规则: 出站

  • protocol: UDP

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 端口 464 , 88 , 389 , 49152-65535

  • 安全组: SQL

  • 规则: 出站

  • protocol: UDP

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 端口 464 , 88 , 389 , 49152-65535

  • 安全组 :AD

  • 规则: 入站

  • protocol: UDP

  • 源类型 :CIDR

  • 源: <bastion_subnet><sql_subnet>

  • 值: 端口 464 , 88 , 389 , 49152-65535

TCP 1433 上从防御主机到 SQL 服务器的 SQL 流量

  • 安全组: SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • 源: <bastion_subnet>

  • 值: 端口 1433

  • 安全组: 堡垒

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标: <sql_subnet>

  • 值: 端口 1433

从防御主机到 SQL 服务器的 SQL 客户机到 TCP 6789 上的侦听器

  • 安全组: SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • 源: <bastion_subnet>

  • 值: 端口 6789

  • 安全组: 堡垒

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标: <sql_subnet>

  • 值: 端口 6789

始终在 Microsoft SQL Server 之间的 TCP 5022 上的可用性组流量

  • 安全组: SQL

  • 规则: 入站

  • protocol: TCP

  • 源类型 :CIDR

  • 源: <sql_subnet>

  • 值: 端口 5022

  • 安全组: SQL

  • 规则: 出站

  • protocol: TCP

  • 目标类型 :CIDR

  • 目标: <sql_subnet>

  • 值: 端口 5022

内部资源之间的 ICMP 流量

  • 安全组: 堡垒, SQL 和 AD

  • 规则: 出站

  • 协议 :ICMP

  • 目标类型: 任何

  • 目标: 0.0.0.0/0

  • 值: 类型: 任何,代码: 任何

  • 安全组: 堡垒, SQL 和 AD

  • 规则: 入站

  • 协议 :ICMP

  • 源类型: 任何

  • 资料来源: 0.0.0.0/0

  • 值: 类型: 任何,代码: 任何

UDP 53 上到 AD 服务器的 DNS 流量

  • 安全组 :AD

  • 规则: 入站

  • protocol: UDP

  • 源类型 :CIDR

  • 源: <sql_subnet><bastion_subnet><ad_subnet>

  • 值: 端口 53

  • 安全组: SQL 和堡垒

  • 规则: 出站

  • protocol: UDP

  • 目标类型 :CIDR

  • 目标: <ad_subnet>

  • 值: 端口 53

IBM Cloud 端点流量

从 VPC 内部,您可以访问三种类型的 IBM Cloud 端点:

  • 服务端点-也称为平台即服务 (PaaS) 端点,这些端点允许通过 IBM Cloud 专用网络与 IBM Cloud 服务进行安全连接。 这些端点通过 cloud.ibm.com 域中的 DNS 名称提供,并解析为 166.8.0.0/16 地址范围。
  • 基础架构端点-基础架构服务通过使用 adn.networklayer.com 域中的某些 DNS 名称提供,它们解析为 161.26.0.0/16 地址空间。 服务包括 :DNS 解析器, NTP , IBM Cloud Object Storage 和 Ubuntu 以及 Debian 镜像。 允许的协议应该包括 UDP 53 (DNS) , UDP 123 (NTP) , TCP 80 (HTTP) 和 TCP 443 (HTTPS)。
  • 虚拟端点-虚拟端点使您能够使用从 VPC 中的子网分配的 IP 地址来连接到受支持的 IBM Cloud 服务。

请参阅 可用的端点关于虚拟专用端点网关 ,以获取有关端点的更多信息。

基础架构端点

  • 安全组: 防御, AD 和 SQL
  • 规则: 出站
  • protocol: TCP
  • 目标类型 :CIDR
  • 目的地: 161.26.0.0/16
  • 值: 端口 443

DNS 解析器流量

需要从 AD 服务器到 IBM DNS 解析器的 DNS 解析器流量:

  • 安全组 :AD
  • 规则: 出站
  • protocol: UDP
  • 目标类型 :IP
  • 目的地: 161.26.0.10,161.26.0.11
  • 值: 端口 53

NTP 流量

需要从 AD 服务器到 IBM NTP 服务器的 NTP 流量:

  • 安全组 :AD
  • 规则: 出站
  • protocol: UDP
  • 目标类型 :IP
  • 目的地: 161.26.0.6
  • 值: 端口 123